La startup di compliance Delve è stata eliminata dal portafoglio Y Combinator (YC), segnalando una significativa ricaduta a seguito delle accuse di clienti fuorvianti e pratiche operative discutibili. La società non è più elencata sul sito Web di YC e il COO di Delve Selin Kocalar ha confermato la divisione su X, affermando: “YC e Delve si sono separati”. Questa mossa segue una presa di distanza simile da parte di Insight Partners, che ha temporaneamente rimosso le menzioni del loro investimento prima di ripristinare alcuni contenuti.
Il nocciolo della controversia
La disputa è incentrata sulle affermazioni avanzate da una fonte anonima, “DeepDelver”, che sostiene che Delve abbia travisato le sue capacità di conformità, vendendo potenzialmente certificazioni inefficaci ai clienti. DeepDelver ha condiviso dati trapelati e comunicazioni interne suggerendo di elaborare report automatizzati per stabilimenti di certificazione discutibili ignorando la necessaria due diligence.
Le accuse si sono ulteriormente intensificate quando è stato scoperto un malware in un progetto open source utilizzato da un cliente Delve, LiteLLM. Anche se il collegamento esatto rimane poco chiaro, questo incidente si aggiunge al crescente controllo sulla sicurezza e sull’integrità operativa di Delve.
Risposta di Delve: attacco o denuncia?
I dirigenti di Delve Karun Kaushik e Selin Kocalar hanno negato con veemenza le affermazioni, definendole una campagna diffamatoria coordinata orchestrata da un attore malintenzionato. Affermano che un utente malintenzionato ha acquistato l’accesso con falsi pretesti, ha esfiltrato dati e li ha utilizzati per danneggiare la reputazione di Delve.
L’azienda afferma di aver assunto una società di sicurezza informatica per indagare, indicando prove di furto di dati e accusando DeepDelver di falsificazione e presentazione di prove selettive. Difendono inoltre l’uso di strumenti open source, sostenendo di aver rispettato i termini di licenza e di aver migliorato significativamente il software ai fini della conformità.
Misure di controllo dei danni
Per mitigare le ricadute, Delve ha annunciato diverse azioni correttive:
- Eliminazione delle società di revisione che non soddisfano i loro standard.
- Offerta di nuovi audit e test di penetrazione gratuiti ai clienti esistenti.
- Chiarire che i loro modelli sono intesi come punti di partenza, non soluzioni finali di conformità.
Il CEO Kaushik ha riconosciuto che l’azienda è cresciuta troppo rapidamente, non raggiungendo i propri standard, e ha rilasciato delle scuse ai clienti interessati.
“Siamo cresciuti troppo velocemente e non siamo riusciti a raggiungere i nostri standard. Ci scusiamo profondamente con i nostri clienti per gli inconvenienti causati.” — Karun Kaushik
Cosa significa
La situazione di Delve evidenzia i rischi inerenti alle startup in rapida crescita che danno priorità alla scala rispetto alla verifica. Le accuse, vere o false, hanno danneggiato la fiducia degli investitori e sollevano interrogativi sul rigore della conformità nel settore tecnologico. L’uscita da Y Combinator è un chiaro segnale che anche gli acceleratori altamente selettivi taglieranno i legami con le aziende che affrontano seri problemi di integrità.
L’incidente sottolinea l’importanza della trasparenza, della sicurezza dei dati e di un’accurata due diligence sia per le startup che per i loro clienti. Senza questi, anche le iniziative promettenti possono fallire rapidamente se esaminate attentamente.
